Reparalia Direct, SL
Don B.B.B. denuncia que Reparalia ha cargado en su cuenta de Bankia una factura en concepto de “Endesa-Endesa-Reparalia Club”, correspondiente al Servicio Club Hogar de Endesa, sin haber contratado dicho servicio ni haber facilitado sus datos personales a dicha entidad
En los sistemas de Reparalia consta el alta del producto denominado ENSK13S1 (póliza de seguros Reparalia club) a nombre del denunciante con fecha de alta 29/06/2011. Consta como fecha de baja 16/04/2012.
Reparalia no aporta copia del contrato suscrito. La entidad denunciada indica que no existe contratación por parte del afectado, manifestando que la contratación fue efectuada correctamente por otro cliente y que debido a un problema técnico de sus sistemas se produjo un error en el cobro
Reparalia no ha acreditado que dispusiera del consentimiento del denunciante para cargar en su cuenta de Bankia la factura de la póliza Servicio Club Hogar de Endesa que no había contratado.
En el asunto que nos ocupa, los hechos probados acreditan que el tratamiento de datos personales del denunciante se materializó en el cargo, por parte de REPARALIA, en su cuenta de Bankia de la factura relativa al producto Servicio Club Hogar de Endesa, sin haber contratado dicho servicio ni haber facilitado sus datos personales a dicha entidad. Asimismo, hay que significar que Reparalia mantuvo en sus ficheros los datos del denunciante respecto al producto ENSK13S1 (póliza de seguros Reparalia club) desde el 29 de junio de 2011 hasta el 16 de abril de 2012.
La documentación que obra en el expediente acredita que Reparalia trató datos personales del denunciante en sus ficheros sin su consentimiento.
Reparalia alega que el hecho de que se asociara el número de cuenta corriente del denunciante se debió a que la contratación fue efectuada correctamente por otro cliente y que debido a un problema técnico de sus sistemas se produjo un error en el cobro.
Sin embargo, se aprecia una falta de diligencia notoria de una entidad que por el volumen de datos tratados y su especialización debería actuar con un especial cuidado.
Pues bien, en aras a verificar la existencia del contrato o contratos suscritos entre el denunciante y entidad denunciada, se requirió a la denunciada, en las actuaciones previas de inspección para que aportara una copia del contrato suscrito en relación a la líneas telefónicas controvertidas cualquiera que fuera la forma de soporte, ya fuera por escrito, grabación ó internet. REPARALIA no pudo aportar la documentación requerida.
A la vista de la documentación que obra en el expediente y de los hechos declarados probados, se concluye que, en el presente caso, no existe ninguna prueba de que REPARALIA hubiera articulado algún mecanismo para acreditar cuáles fueron los datos efectivamente suministrados por su cliente y cuál era la identidad de éste.
En consecuencia, dado que la denunciada no ha aportado prueba alguna de la que pueda desprenderse el consentimiento del denunciante en aras a la contratación del servicio facturado para el tratamiento de sus datos personales, la conducta de REPARALIA anteriormente descrita constituye una vulneración del principio del consentimiento que consagra el artículo 6.1 de la LOPD
El director de la Agencia Española de Protección de Datos resolvió imponer a Reparalia Direct, SL por la infracción del artículo 6.1 de la LOPD, tipificada como grave, una multa de 50.000 €.
Spantel 2000, S.A.U.
Con fecha de 24/7/12 tuvo entrada en la AEPD un escrito de D. A.A.A. , en el que declara haber solicitado la cancelación de sus datos en el fichero Asnef incorporados por Spantel 2000 SAU habiendo sido confirmados por la entidad informante a pesar de que la información de esta deuda fue incorporada en el fichero.
A.A.A. contrató los servicios de telefonía fija y ADSL con la entidad en fecha 26 de julio de 2004.
Como consecuencia de los reiterados impagos de las facturas, con fecha 13 de enero de 2005 se desactivaron los servicios y se requirió el pago de las cantidades adeudadas.
Con fecha 8 de septiembre de 2005 Spantel comunicó los datos de solvencia de A.A.A. al fichero de solvencia patrimonial Asnef, siendo dado de baja en fecha 27 de enero de 2011 al haber transcurrido 6 años.
Desde el 9 de febrero de 2011 hasta el 12 de mayo de 2011 se contacta nuevamente con el cliente pidiéndole un acuerdo de pago de la deuda pendiente, sin obtener ningún tipo de respuesta por su parte. Por ello en fecha 12 de mayo de 2011 ha sido incluido nuevamente en los ficheros de impagados de Asnef.
Spantel 2000, S.A.U. no ha efectuado alegaciones al acuerdo de inicio del procedimiento sancionador.
El Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, establece en su artículo 38:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de dicha deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico
De lo expuesto se deduce que SPANTEL 2000 SAU ha sido responsable del tratamiento de datos del denunciante en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa a la denunciante no responda a los principios de calidad de datos recogidos en el artículo 4.3 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).
Esto supone una vulneración del principio de calidad del dato de la que debe responder la entidad denunciada. Por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.
El director de la Agencia Española de Protección de Datos resolvió imponer a Spantel 2000, S.A.U. por una infracción del artículo 4 de la LOPD, tipificada como grave, una multa de 40.001 €.
A.A.A. contrató los servicios de telefonía fija y ADSL con la entidad en fecha 26 de julio de 2004.
Como consecuencia de los reiterados impagos de las facturas, con fecha 13 de enero de 2005 se desactivaron los servicios y se requirió el pago de las cantidades adeudadas.
Con fecha 8 de septiembre de 2005 Spantel comunicó los datos de solvencia de A.A.A. al fichero de solvencia patrimonial Asnef, siendo dado de baja en fecha 27 de enero de 2011 al haber transcurrido 6 años.
Desde el 9 de febrero de 2011 hasta el 12 de mayo de 2011 se contacta nuevamente con el cliente pidiéndole un acuerdo de pago de la deuda pendiente, sin obtener ningún tipo de respuesta por su parte. Por ello en fecha 12 de mayo de 2011 ha sido incluido nuevamente en los ficheros de impagados de Asnef.
Spantel 2000, S.A.U. no ha efectuado alegaciones al acuerdo de inicio del procedimiento sancionador.
El Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, establece en su artículo 38:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de dicha deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico
De lo expuesto se deduce que SPANTEL 2000 SAU ha sido responsable del tratamiento de datos del denunciante en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa a la denunciante no responda a los principios de calidad de datos recogidos en el artículo 4.3 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).
Esto supone una vulneración del principio de calidad del dato de la que debe responder la entidad denunciada. Por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.
El director de la Agencia Española de Protección de Datos resolvió imponer a Spantel 2000, S.A.U. por una infracción del artículo 4 de la LOPD, tipificada como grave, una multa de 40.001 €.
Groupon Spain, SLU
Con fechas 19/07/2012, 06/08/2012, 25/09/2012 tuvo entrada en la AEPD una serie de escritos, en los que se denuncia que GROUPON asegura en su página web que no almacena los datos de las tarjetas de crédito, pero al realizar compras se comprueba que la aplicación rellena automáticamente el dato de la tarjeta de crédito y el código de seguridad (CVC o CVV).
Aportan los denunciantes la siguiente documentación:
- Impresión de una página del sitio web www.groupon.es en la que se asegura que la entidad no almacena los números de tarjeta de crédito.
- Impresiones de capturas de pantalla de dicho sitio web, en las que se muestran parcialmente los números de tarjeta de crédito y CVS.
- Impresión de la pantalla con los datos del cliente, en la que no se muestra la posibilidad de optar de almacenar o no la tarjeta de crédito, ni se variar su número.
En fecha 30/5/2012 se realizó visita de inspección a GROUPON durante la cual los representantes de la entidad realizaron las siguientes manifestaciones en respuesta a las cuestiones planteadas por los inspectores:
a. GROUPON no guarda datos de las tarjetas de crédito de los clientes, la guarda la pasarela de pagos.
b. Los clientes pueden elegir si desean que se conserve o no el número de tarjeta de crédito en la pasarela de pagos. Quien no lo desee puede solicitarlo a GROUPON, que procede a marcarlo así en sus sistemas y en adelante la pasarela no guardará dicho dato. Sin embargo, se accede a la pantalla en la que el cliente puede modificar sus datos personales y se observa que no aparece el campo correspondiente, informando los representantes de la entidad que si el cliente no desea que se conserve el número de tarjeta ha de solicitarlo expresamente a la entidad, quien procederá al cambio en unas pocas horas.
En el presente caso ha resultado probado que GROUPON ha incumplido el art. 5 de la LOPD, pues no informaba a sus clientes de que conservaba los datos correspondientes a las tarjetas de crédito que previamente habían utilizado sus clientes.
Es decir, no ha proporcionado información clara y precisa respecto del tratamiento al que iban a ser sometidos sus datos personales, en concreto se informa precisamente de lo contrario al asegurar que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores”.
GROUPON manifestó que los datos no se conservan en sus sistemas sino que son “importados” de la pasarela de pago utilizada para gestionar el cobro de la venta de sus productos. No obstante no aportó el contrato en virtud de la cual se gestionan dichos cobros de donde se podía deducir las responsabilidades de cada interviniente. En este sentido, debe recordarse que la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento, y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento.
El director de la Agencia Española de Protección de Datos resolvió imponer a Groupon Spain, SLU por la infracción del artículo 5 de la LOPD, tipificada como grave, una multa de 20.000 €.
Aportan los denunciantes la siguiente documentación:
- Impresión de una página del sitio web www.groupon.es en la que se asegura que la entidad no almacena los números de tarjeta de crédito.
- Impresiones de capturas de pantalla de dicho sitio web, en las que se muestran parcialmente los números de tarjeta de crédito y CVS.
- Impresión de la pantalla con los datos del cliente, en la que no se muestra la posibilidad de optar de almacenar o no la tarjeta de crédito, ni se variar su número.
En fecha 30/5/2012 se realizó visita de inspección a GROUPON durante la cual los representantes de la entidad realizaron las siguientes manifestaciones en respuesta a las cuestiones planteadas por los inspectores:
a. GROUPON no guarda datos de las tarjetas de crédito de los clientes, la guarda la pasarela de pagos.
b. Los clientes pueden elegir si desean que se conserve o no el número de tarjeta de crédito en la pasarela de pagos. Quien no lo desee puede solicitarlo a GROUPON, que procede a marcarlo así en sus sistemas y en adelante la pasarela no guardará dicho dato. Sin embargo, se accede a la pantalla en la que el cliente puede modificar sus datos personales y se observa que no aparece el campo correspondiente, informando los representantes de la entidad que si el cliente no desea que se conserve el número de tarjeta ha de solicitarlo expresamente a la entidad, quien procederá al cambio en unas pocas horas.
En el presente caso ha resultado probado que GROUPON ha incumplido el art. 5 de la LOPD, pues no informaba a sus clientes de que conservaba los datos correspondientes a las tarjetas de crédito que previamente habían utilizado sus clientes.
Es decir, no ha proporcionado información clara y precisa respecto del tratamiento al que iban a ser sometidos sus datos personales, en concreto se informa precisamente de lo contrario al asegurar que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores”.
GROUPON manifestó que los datos no se conservan en sus sistemas sino que son “importados” de la pasarela de pago utilizada para gestionar el cobro de la venta de sus productos. No obstante no aportó el contrato en virtud de la cual se gestionan dichos cobros de donde se podía deducir las responsabilidades de cada interviniente. En este sentido, debe recordarse que la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento, y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento.
El director de la Agencia Española de Protección de Datos resolvió imponer a Groupon Spain, SLU por la infracción del artículo 5 de la LOPD, tipificada como grave, una multa de 20.000 €.
No hay comentarios:
Publicar un comentario